RELATEED CONSULTING
免费使用
下列产品全部免费使用
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
电子客票漏洞将航空乘客数据暴露给黑客
  • 发表时间:2020-08-23 22:05
  • 来源:数度域

移动安全供应商漫游者周三报道,包括西南航空和荷兰航空公司荷航在内的八家航空公司的电子售票系统存在一个漏洞,可以暴露乘客的个人身份信息(pii)。

他们使用黑客容易截获的未加密链接。黑客然后可以查看,在某些情况下,甚至改变受害者的航班预订细节,或打印他们的登机牌。

根据漫游者的说法,法航,威林,捷星,托马斯库克,泛亚航空和欧罗巴航空也有这个问题。

该公司的产品副总裁michael covington说:“漫游者调查了40多家全球航空公司使用的电子票务系统。”

他告诉technewsworld:“目前只有那些有足够时间对我们的责任披露做出回应的组织才会被列入受影响的航空公司名单。”

在公开披露漏洞之前,漫游者给供应商最多四周时间提供补丁或相关修复。

covington说,该公司一直在与“一些受影响的航空公司”沟通,但未能证实任何修复措施已经实施。

发现漏洞

去年12月初,在得知一名访问了八家航空公司之一的电子票务系统的客户收到了未经加密的旅行相关乘客信息后,漫游者发现了该漏洞。

然后,它研究了其他航空公司的电子售票系统是否也同样容易受到攻击。

wandera在记录漏洞时通知了受影响的航空公司。

它还与负责机场安全的政府机构分享了调查结果。

漏洞详细信息

来自指定航空公司的未加密值机链接将乘客引导到一个站点,在那里他们会自动登录航班的值机功能。在某些情况下,他们可以对他们的预订进行某些更改,并打印出他们的登机牌。

一旦乘客访问了易受攻击的登记链接,同一网络上的黑客就可以拦截允许访问电子票务系统的凭证。

使用这些凭证,黑客可以在航班起飞前的任何时间访问电子票务系统,甚至可以多次访问,并访问与预订相关的所有个人身份信息。

covington说:“该漏洞不需要中间人攻击或安装恶意软件就能被利用。”“任何使用与乘客相同的网络(无线或有线)的人都可以拦截电子售票网站的凭证。”

ciphercloud首席战略办公室的安东尼詹姆斯(anthony james)表示,航空公司“绝不应该在电子邮件中泄露未经认证的pii数据链接”。

他告诉technewsworld:“这对我们来说毫无意义。”

不同航空公司的系统暴露不同类型的数据。

暴露的数据可能包括以下内容:

  • 电子邮件地址
  • 名字和姓氏
  • 护照或身份证信息——包括证件号码、签发国家和有效期
  • 预订参考资料
  • 航班号和时间
  • 座位分配
  • 行李选择
  • 完整的登机牌
  • 部分信用卡详细信息
  • 预订旅游公司的详细信息
  • 构成的危险

    在访问乘客的登记后,黑客不仅可以访问受害者的pii,还可以添加或移除额外的行李,更改分配的座位,以及更改与预订相关的手机号码或电子邮件。

    漫游者说,一些机场登机牌检查质量可疑,这增加了黑客或罪犯打印受害者的登机牌并试图用它登上预定航班的可能性。

    另一方面,密码云公司的詹姆斯指出,黑客追求的目标是高投资回报。“拦截带有机票链接的电子邮件只会得到一个旅行者的pii。”

    此外,詹姆斯指出:“一切都取决于登机和图片身份证,以通过安全。”"图片id仍然是安全程序的支柱."

    清除并呈现网络危险

    安全专家多年来一直建议旅行者避免使用公共wifi网络和酒店网络进行重要通信。

    wandera的covington指出:“在未加密的无线网络或典型的有线酒店或办公室网络中,网络流量更容易被截获。”

    他指出,“对于攻击者来说,观察发生在运营商网络上的连接更具挑战性”,但是航空公司应该自己“解决一些基本的安全问题”。

    来美国

    lucy security首席执行官科林·巴斯特布尔(colin bastable)指出,荷兰皇家航空公司和法国航空公司“紧密结合为同一家公司的一部分”。

    他们通过 天合联盟与达美航空合作,“通过达美航空在美国的八个枢纽向美国国内市场引入了潜在的第三方风险。”

    bastable表示,与法航和荷航共享代码“可能会对达美航空造成代价高昂的后果,如果由于这个问题而导致数据泄露的话”,因为gdpr法规“会因数据泄露而从全球收益中分一杯羹。”

    此外,密码云公司的詹姆斯说,美国提出的新法规,如《美国数据传播法》和《2018年加州消费者隐私法》可能会使供应商承担处罚和违规责任,如果他们在不要求认证的情况下暴露pii数据。

    如何保证pii的安全

    以下是漫游者建议航空公司应该采取的一些步骤:

  • 加密整个登记过程;
  • 在pii可访问的所有步骤中要求用户验证,尤其是在可以编辑pii时;和
  • 对电子邮件中的直接链接使用一次性令牌。
  • 密码云公司的詹姆斯说:“如果你不登录就直接进入乘客姓名记录,这绝对是一个潜在的问题。”“您必须始终要求登录和身份验证。”

    wandera建议,用户应该部署一个主动的移动安全服务来监控和阻止数据泄露和网络钓鱼攻击。

    八家航空公司的乘客“应该在家里打印登机牌,”露西安全公司的bastable建议,“避免在机场使用手机办理登机手续。”

    电子客票漏洞将航空乘客数据暴露给黑客 相关的文章:

  • 谷歌将机器学习引入在线营销评估
  • 将记录谷歌在欧洲的风格。
  • 亚马逊在黄金时段启动时钟
  • 新的网络安全政策将影响联邦it市场
  • ftc将观察亚马逊的折扣定价做法
  • 苹果将于9月12日满足iphone的好奇心